Was bedeutet diese Firewall Warnung?

Thema ist geschlossen!
Thema ist geschlossen!
#0
26.12.2008, 19:31
...neu hier

Beiträge: 5
#1 In unregelmäßigen Abständen meldet sich meine ZoneAlarm Firewall:


Meistens mit 9-10 Warnungen auf einmal, mit unterschiedlichsten Quell IP, Ziel IP und Ports. Hier mal ein Screenshot vom Protokoll:


Ich kann damit nichts Anfangen. Zudem wundern mich die zum Teil "vertrauenswürdigen" Ziel IPs die auf Amazon.de, ebay.de, honda.de etc. verweisen. Auf den Seiten war ich zwar, aber definitiv nicht zum Zeitpunkt der Firewallwarnung. Wasn da los?

Mein System:
Win Vista
Über WLAN mit DSL-Router verbunden (integrierte Firewall ist aktiviert)
Zonealarm Desktop Firewall

Anhang: meldung.jpg
Seitenanfang Seitenende
26.12.2008, 23:22
Moderator
Avatar joschi

Beiträge: 6466
#2 Wäre interessant, zu erfahren, welches Programm diese Verbindungen aufbauen möchte ? Was versteckt sich unter dem "Weitere Info"-Button ?
Möglich-speziell ebay und amazon betreffend-ist, dass hier Elemente (wohl meist Werbung betreffend) oft in anderen Webseiten eingebettet sind und beim Seitenaufruf ebenfalls geldaen werden wollen. Sollte die Firewall zusätzlich so etwas wie einen Werbe-/Contentfilter enthalten, dann ist eher dem die Meldung zuzuordnen, als der Firewallfunktionalität. Aber wie schon gesagt, es wäre wichtig zu erfahren, welches Programm hier die Verbindung initiiert.
Generell sind Seiten wie ebay.de, amazon.de oder honda.de als vertrauenswürdig einzustufen.
Evtl ist Flags AF die Lösung, allerdings sagt mir AF gerade gar nichts.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
28.12.2008, 11:00
...neu hier

Themenstarter

Beiträge: 5
#3 Was vielleicht noch wichtig ist:
Die Quell bzw. Ziel IP (die ich unkenntlich gemacht habe), ist die IP mit der mein PC mit dem Router verbunden ist und nicht die "richtige" IP mit der der Router mit dem Web verbunden ist. (Ich glaub das nennt sich Port-Forwarding, oder? Ich hab hier leider nur ein fundiertes Halbwissen ;-))

Welches Programm die Meldung auslöst lässt sich nicht ermitteln. Alle Infos die die Firewall auswirft, habe ich oben gepostet. Unter "Weitere Info" bekommt man die gleichen Infos wie im o.g. Protokoll. Ein Werbefilter ist in Zonealarm nicht integriert bzw. aktiviert.

Normalerweise sieht die (Warn-)Meldung auch etwas anders aus:
Es wird angezeigt welche *.exe-Datei aufs Internet zugreifen will bzw. als Server fungieren möchte, welches ich ich dann zulassen oder verweigern kann.

Aber bei o.g. "Problem" kommen immer ca. 10 Warnungen innerhalb von 1-3 sek. auf einmal und der Datenverkehr wird automatisch gesperrt.
Seitenanfang Seitenende
28.12.2008, 17:42
Moderator
Avatar joschi

Beiträge: 6466
#4 Ich sammel gerade ein paar Infos zusammen und schreib später was dazu.
Bedeutung der Abkürzungen bei Zoenalarm:
S (SYN) F (FIN) R (RESET) P (PUSH) A (ACK) U (URGENT)

Ich machs kurz und gehe davon aus, dass es sich um Datenverkehr des Browsers handelt, was nahe liegt. Genaueres könntest Du mit dem Programm TCPview in Erfahrung bringen.

Für die ausgehende Verbindungen (dein Rechner Quelle, Remoteserver Ziel) sehe ich keinen vernünftigen Grund.
Für die eingehenden Verbindungen, könnte es sein, dass die Firewall Pakte blockiert, da der lokale Port, den der Brwoser für exakt diese Verbindung verwendet hat, geschlossen ist. Dies könnte z.B dann auftreten, wenn man in einem Browserfenster eine Seite aufruft, diese aber noch im Ladevorgang wieder schließt. Es treffen noch (zuvor angeforderte) Daten von dem Webserver ein, die aber nicht mehr zuzuordnen sind und deshalb (von Zonealarm) verworfen werden. Wäre Zonealarm nicht installiert, würde im grunde nicht anderes geschehen ;)
Solange es sich um Datenverkehr des Browsers handelt kannst Du all die
Einträge beruhigt vergessen, zumal es sich bei den Remote-Adressen um vertrauensvolle Domains handelt.

Überlege Dir mal, zumal Du hinter einem Router sitzt, ob Dir nicht die Vista FW ausreicht; oder Du stellst diese Alarmmeldungen der Zonealarm ab. ;)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
29.12.2008, 21:43
...neu hier

Themenstarter

Beiträge: 5
#5 Vielen Dank, joschi!

Hab auch nochmal versucht etwas herauszufinden, und es handelt sich um Datenverkehr vom Browser und es scheint das die ZoneAlarm Meldungen hiermit http://www.akamai.de/about_us.html zusammenhängt. TCPView bestätigte diese Annahme.

Auch wenn ich nicht ganz durchblicke was da wirklich vor sich geht, bin ich beruhigt das das wohl schon seine Richtigkeit hat. :-)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: